Een certificaat, dat maakt de verbinding toch volledig veilig?

Met de digitalisering van alles en iedereen om ons heen wordt de vraag om veiligheid met de dag groter. Bescherming van data en identiteit wordt eens steeds groter thema. Een onderdeel van het beveiligen van digitale zaken is het versleutelen van websites en webservices. In de afgelopen jaren is het aantal websites wat nog op het aloude http (Hypertext Transfer Protocol) draait flink afgenomen. In plaats daarvan worden sites en services op internet nu aangeboden via httpS (HyperText Transfer Protocol Secure), de versleutelde versie van http. Of een website gebruik maakt van https is dan weer te zien aan het certificaat/slotje in de browser. Maar wat zegt zo’n certificaat nu echt over de beveiliging van de verbinding?

Het korte antwoord is: ‘Eigenlijk niet zo veel.’ De functie van een certificaat is namelijk niet het versleutelen van de verbinding zelf. Het certificaat heeft als doel aan te tonen dat de website ook is wie hij zegt dat hij is. Als je bijvoorbeeld naar www.mostware.nl gaat, dan kan alleen de beheerder/eigenaar van het domein mostware.nl een officieel erkend certificaat aan laten maken voor www.mostware.nl. De eigenaar of bezitter van het certificaat bepaalt vervolgens waar dit certificaat op komt te staan. De identiteit van het eindpunt (www.mostware.nl) is in dit geval dan vastgelegd.

Houd je versleuteling up-to-date

De volgende stap is het daadwerkelijk versleutelen van de verbinding zelf. Hierbij komt een achterliggende webservice kijken. Tussen bezoeker (jouw computer) en het geverifieerde eindpunt (in dit geval www.mostware.nl) zal de verbinding versleuteld worden. De versleuteling die hier wordt toegepast is nu net het belangrijkste deel van het beveiligen van de verbinding. Tussen de server en client wordt afgestemd welke techniek van versleuteling wordt gehanteerd tijdens de communicatie. Wanneer deze versleuteling zwak of verouderd is, dan zal de beveiliging van de verbinding ook niet veel voorstellen.

Om even een voorbeeld aan te halen. In het begin van WiFi was er WEP-encryptie (Wired Equivalent Privacy). Bij WEP-encryptie worden draadloze verbindingen versleuteld. Na niet al te lange tijd werden de programma’s om deze encryptie te ontsleutelen beter, processoren om te ontsleutelen sneller en werden er fouten in het protocol ontdekt. Gevolg, WEP was makkelijk te kraken en dus mee te lezen. WEP-encryptie is daardoor niet meer veilig. Ditzelfde geldt voor oudere encryptiestandaarden welke ook op webservers worden toegepast.

Is hier niets aan te doen? Gelukkig wel. Met het verouderd en onveilig worden van standaarden worden er ook nieuwe, veiligere standaarden ontwikkeld. Zo werd WEP bij WiFi opgevolgd door WPA (Wi-Fi Protected Access) en WPA2. Inmiddels is WPA3 ook al in de maak. Dit geldt ook voor webservers, maar deze krijgen helaas lang niet altijd de aandacht die ze verdienen.

Test je encryptie

Hoe weet je dan snel of je ‘goed’ zit met de encryptie op je webserver? Daarvoor zijn gelukkig slimme tools beschikbaar op internet. Op de website van SSLTest is een testtool beschikbaar die een site voor je kan controleren. Na de test weet je precies hoe het met de site gesteld is en wat je aandachtspunten zijn. Je kunt de tool vinden via https://www.ssllabs.com/ssltest/.

Afhankelijk van het resultaat heb je mogelijk wat aandachtspunten waar je wat mee moet. Als het een niet Windows webservice is dan worden de problemen vaak verholpen met een update van de fabrikant. Mocht hier geen update meer voor beschikbaar zijn dan wordt het wellicht tijd voor vervanging of een duurdere oplossing met een proxyserver. Heb je een webserver op Windows (IIS) dan kun je uitgebreid aan de slag in het register van Windows of….. of je pakt ook hier weer een tooltje bij wat door de handige jongens van Nartact Software gemaakt is. Op de website van Nartac (https://www.nartac.com/Products/IISCrypto/) is de tool IISCrypto te vinden. Hiermee zijn in een paar tellen de juiste instellingen door te voeren, even herstarten en klaar.

Loop je toch vast of wil je controleren of je goed zit? Stuur mij gerust een berichtje!